Покайтесь, ибо Let's Encrypt грядёт!

LOR может, же )))

у ЛОРа написано GeoTrust, а вот тут https://helloworld.letsencrypt.org/ Let's Encrypt

Для говносайтиков - потянет, для себя - самоподписаный безопаснее.

нету /etc/os-release, нету sudo

Ну так поставь sudo и напиши os-release.

нету /etc/os-release, нету sudo

Ну так поставь sudo и напиши os-release.

Spoofing недостаточно энтерпрайзен для этого.

он ниасилил же.

Уже протестировал и взял себе пару штук: https://tlhp.cf/get-free-ssl-cert/

Там есть засада когда нет доступа по ssh к хостингу.

Держи нас в курсе событий ;)

Кто-нибудь уже может похвастать сертификатом на своём сайте?

Тазхейт может.

Ага, могу.

Для говносайтиков - потянет, для себя - самоподписаный безопаснее.

Не стоит так утвердительно говорить о том, в чем ты ни бум-бум.

А откуда информация про что, я «ни бум-бум»? Или может не стоит так утвердительно говорить?

И какая разница между этим сервисом и любым сторонним CA?

И какая разница между этим сервисом и любым сторонним CA?

В том, что бесплатно, быстро и самостоятельно, как минимум. Если бы ты глазами читал описание сервиса, а не жопой, то уже знал бы об этом.

Или может не стоит так утвердительно говорить?

По той чепухе, которую ты несешь, это уже видно.

Для говносайтиков - потянет

«говносайтики» - это почти любой сайт с нормальной посещаемостью, ага.

В том, что бесплатно, быстро и самостоятельно, как минимум. Если бы ты глазами читал описание сервиса, а не жопой, то уже знал бы об этом.

Описание читал, и даже не жопой (сюрприз!). Кроме бесплатно и быстро плюсов не обнаружил.

По той чепухе, которую ты несешь, это уже видно.

Пруф или не было.

«говносайтики» - это почти любой сайт с нормальной посещаемостью, ага.

Одно другое не исключает.

Кроме бесплатно и быстро плюсов не обнаружил.

Я и говорю, тебе бесплатный полноценный CA, который по сути убивает рынок ssl сертов, полезным не кажется. Все понятно, кек.

Кажется, поэтому и говорю, что для своих сервисов в личных целях буду использовать самоподписаный серт, а для рандомного бложека-сайтика - то что надо, что я и написал.

Рынок сертификатов не убьет (но сильно освежит). Там есть механизм проверки владения доменным именем, на которое выдается серт?

Там есть механизм проверки владения доменным именем, на которое выдается серт?

Говорю же - ты не читал. Разумеется есть.

Там есть засада когда нет доступа по ssh к хостингу.

Для летсинкрипта ваще пофигу, есть ssh или нет. Серт можно спокойно получить хоть на локалхосте своем, а на сайт уже тупо серты залить.

В том, что бесплатно, быстро и самостоятельно, как минимум.

А вайлдкарды поддерживает?

Пока нет. Они обсуждают, секурно или нет выдавать вайлдкады. В качестве альтернативы предлагают пока перечислять в сертификате любое количество поддоменов.

А можно ли при обращении к какому-нибудь поддомену, к которому ещё не обращались до этого, сразу переиздавать сертификат. Прокатит?

А вайлдкарды поддерживает?

Нет.

Да, уже нашел.

Там это делает acme protocol.

А можно ли при обращении к какому-нибудь поддомену, к которому ещё не обращались до этого, сразу переиздавать сертификат. Прокатит?

Что за бредятина?

Сомневаюсь.

Ну, ведь в Let's Encrypt сертификат запрашивается простым скриптом, так?
Например, в nginx по вайлдкарду смотрим все поддомены, делаем content_by_lua и в lua-скрипте запрашиваем сертификат.
Или делаем каждому пользователю сайта свой поддомен — при создании аккаунта запрашиваем сертификат на username.mydomain.com.

Нет, для mitm тоже не подходит.

Мне не ясен юзкейс. Нахрена это надо?

Понятное дело, что набыдлокодить такое реально.

А почему сразу не делать серт при создании поддомена?

Тоесть теперь любой сайтик с рекламой/майлварью и прочим мусором сможет получить себе сертификат и резать через squid/парсинг_http станет бесполезен?

Ну в первом случае мы не знаем заранее, какой поддомен пользователь запросит. А во втором случае это и получается запрос сертификата одновременно с созданием поддомена.

Тоесть теперь любой сайтик с рекламой/майлварью и прочим мусором сможет получить себе сертификат и резать через squid/парсинг_http станет бесполезен?

Резать что-то через squid бесполезно с той поры как соцсети перешли на https по дефлоту.

Всеравно часть рекламы и сомнительные exe-шники со всяких файл-помоек можно было зарезать.

Пользователь начнет долбиться в 0000.cyb3r.com, затем в 000a.cyb3r.com и так до конца. Через какое количесво запросов мы получаем бан на сервисе? Вам таки нужен wildcard.

Нда, нужен. Я думал, нет никакого бана.

На три месяца только Let's Encrypt выдает? У тебя почему-то на десять месяцев. (видимо тестовый).

но к сожалению мне не удалось её запустить на своём уютненьком CRUX, — пишет, что ОСь недостаточно ынтырпрайзна

А без этих банальных скриптов нельзя будет сделать сертификат (подтвердить владение доменом)?

На три месяца только Let's Encrypt выдает? У тебя почему-то на десять месяцев. (видимо тестовый).

http://funkyimg.com/i/255b7.png

Где ты на 9 увидел? :)

Выдаются они на 4 месяца, обновляются так же - через cli приложуху. Автоматизировать это не проблема.

А без этих банальных скриптов нельзя будет сделать сертификат (подтвердить владение доменом)?

Можно. Просто ТС неосилятор.

После непродолжительного секса я кончил и закурил.

https://spfng.com

Verified by: Let's Encrypt

Поздравляю :)

А в чем заключается смысл релиза 3 декабря, если сертификаты получать можно уже сейчас? Они что ли свою тулзу торжественно обернут в deb?

С nginx точно не прокатит, он сертификат читает только при старте. Поэтому, в частности, нельзя искать файл сертификата в рантайме с использованием значения $ssl_server_name (имя сервера из SNI).

Неужели в nginx нет какого-нибудь cert_by_lua?

Кто-нибудь уже может похвастать сертификатом на своём сайте?

Хотел сделать для уютного жаббера, но оказалось что StartSSL мой халявный домен cu.cc не знает. Пришлось самоподписывать и ругань жаббер клиентов слушать. Может хоть теперь смогу подписать.

https://www.ssllabs.com/ssltest/analyze.html?d=dev.rcopen.com&s=176.9.70....

Йа тоже теперь летсэнкрипченый.

Закрой глаз и загадай желание. Они на бете еще не научились nginx поддерживать. Я в ручном режиме сертификат получал - погасил сервер и запустил ихнюю шайтан-тулзу.